Výskumníci kybernetickej bezpečnosti pomohli odstrániť falošnú aplikáciu dvojfaktorovej autentifikácie (2FA) z obchodu Google Play, ktorá skrývala známy malvér na krádež bankových poverení.
Aplikáciu s názvom 2FA Authenticator objavili bezpečnostní detektívi bezpečnostnej firmy Pradeo. Prezliekla sa za legitímnu aplikáciu 2FA a použila tento kryt na presadenie relatívne nového, ale mimoriadne nebezpečného malvéru Vultur určeného na krádež bankových poverení.
Vo svojej správe výskumníci poznamenávajú, že plne funkčná aplikácia na overovanie 2FA bola odstránená zo služby Google Play 27. januára po tom, čo bola v obchode k dispozícii viac ako dva týždne, kde bolo zaznamenaných viac ako 10 000 stiahnutí.
Podľa výskumníkov vyvinuli aktéri hrozieb aplikáciu pomocou originálnej, open-source autentifikačnej aplikácie Aegis predtým, ako do nej vložili škodlivé funkcie.
Pradeo tvrdí, že prepracovaný podvod falošnej aplikácie jej umožnil úspešne sa maskovať ako overovací nástroj a prejsť náhodnou kontrolou používateľov. Čo však vystrašilo výskumníkov, boli prepracované žiadosti aplikácie o povolenia, vrátane prístupu k fotoaparátu a biometrickým údajom, systémových upozornení, dotazovania sa na balíky a možnosti deaktivovať zámok klávesnice.
Tieto povolenia sú oveľa väčšie ako povolenia vyžadované pôvodnou aplikáciou Aegis a neboli zverejnené v profile aplikácie Google Play. Používateľov tiež vystavujú riziku krádeže finančných údajov a ďalších následných útokov, a to aj v prípade, že sťahujúci aplikáciu nepoužil.
Zatiaľ čo falošná aplikácia 2FA bola odstránená z Obchodu Play, Pradeo varuje používateľov, ktorí si aplikáciu nainštalovali, aby ju okamžite manuálne odstránili.
